Muhamad Hidayat

**Nome do software vulnerável e versões afetadas** Versões do Chatter de n/a a 1.0.1 **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização. Essa vulnerabilidade afeta o software Chatter. **Recomendações** Para as versões n/a a 1.0.1, atualize para uma versão posterior à 1.0.1 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 5.2.3 do plugin Print, PDF, Email by PrintFriendly para WordPress **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de cross-site scripting. Isso ocorre porque o plugin não sanitiza nem escapa as configurações de Texto do Botão Personalizado, o que pode ser explorado mesmo quando a capacidade unfiltered html está desativada. **Recomendações** Para versões anteriores à 5.2.3, atualize para a versão 5.2.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações de Texto do Botão Personalizado para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin JivoChat Live Chat para WordPress anteriores à 1.3.5.4 **Descrição** O problema decorre da falha do plugin em verificar adequadamente os tokens CSRF nas solicitações POST enviadas à sua página de administração e da falta de sanitização de determinados parâmetros. Isso leva a uma vulnerabilidade de Cross-Site Scripting armazenada, permitindo que um invasor induza um administrador conectado a injetar código JavaScript arbitrário. **Recomendações** Para versões anteriores à 1.3.5.4, atualize para a versão 1.3.5.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de administração do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin AdRotate para WordPress anteriores à 5.8.23 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting mesmo quando a capacidade `unfiltered html` está desativada, devido ao plugin não escapar nomes de grupos. **Recomendações** Para versões anteriores à 5.8.23, atualize para a versão 5.8.23 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de inserir nomes de grupos até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin AdRotate para WordPress anteriores à 5.8.23 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting devido à falta de sanitização e escapamento dos nomes dos anúncios, mesmo quando a capacidade `unfiltered html` está desativada. **Recomendações** Para versões anteriores à 5.8.23, atualize para a versão 5.8.23 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de criar ou editar nomes de anúncios apenas a usuários confiáveis até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin ThirstyAffiliates para WordPress anteriores à 3.10.5 **Descrição** A vulnerabilidade se deve à ausência de verificações de autorização na ação `ta insert external image`, permitindo que um usuário com privilégios limitados adicione uma imagem de um URL externo a um link de afiliado. Além disso, faltam verificações CSRF, permitindo que um invasor induza um usuário conectado a realizar a ação criando uma solicitação especial. **Recomendações** Para versões anteriores à 3.10.5, atualize para a versão 3.10.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação `ta insert external image` para impedir o uso não autorizado.

**Nome do software vulnerável e versões afetadas** Versões do plugin Easy Digital Downloads para WordPress anteriores à 2.11.6 **Descrição** O problema diz respeito à falta de sanitização e escapamento do `Nome do arquivo para download` nos registros (logs), o que pode permitir que usuários com privilégios elevados realizem ataques de Cross-Site Scripting quando a capacidade `unfiltered html` estiver desativada. **Recomendações** Para versões anteriores à 2.11.6, atualize para a versão 2.11.6 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Easy Digital Downloads anteriores à 2.11.6 **Descrição** O problema diz respeito à ausência de verificação CSRF ao inserir notas de pagamento, o que pode permitir que invasores façam com que um administrador conectado insira notas arbitrárias por meio de um ataque CSRF. **Recomendações** Para versões anteriores à 2.11.6, atualize para a versão 2.11.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de inserção de notas de pagamento para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Simple Membership para WordPress anteriores à 4.1.0 **Descrição** O problema diz respeito à ausência de uma verificação CSRF ao excluir transações, o que poderia permitir que invasores fizessem com que um administrador conectado excluísse transações arbitrárias por meio de um ataque CSRF. **Recomendações** Para versões anteriores à 4.1.0, atualize para a versão 4.1.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Amelia para WordPress anteriores à 1.0.47 **Descrição** O problema diz respeito à ausência de verificação CSRF ao excluir clientes, o que poderia permitir que invasores fizessem com que um administrador conectado excluísse clientes aleatórios por meio de um ataque CSRF. **Recomendações** Para versões anteriores à 1.0.47, atualize para a versão 1.0.47 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de exclusão de clientes para minimizar o risco de exploração.